Recibir y publicar certificado
Última modificación del tema: 2010-12-13
En el próximo paso del proceso de conexión, el dispositivo envía una solicitud de firma de certificado a los servicios web. El dispositivo utiliza este certificado para proporcionar un canal de comunicaciones más seguro que emplea la Seguridad de la capa de transporte (TLS) con los servicios web o el registrador.
El dispositivo envía una solicitud de firma de certificado (CSR) del Protocolo simple de acceso a objetos (SOAP) a los servicios web. Los servicios web responden con la devolución de un certificado para el usuario de ese dispositivo, firmado por la clave privada de los servicios web. Además, este certificado se publicará en el almacén de datos del grupo de servidores principales del usuario.
Problema 1: No se puede publicar el certificado
Problema: Los servicios web no pueden publicar el certificado solicitado por el dispositivo porque no pueden establecer una conexión con el almacén de datos de servicios de usuario en el grupo de servidores donde se hospeda el usuario. Se registra un evento en el registro de eventos IIS, que indica que no se puede acceder al almacén de datos: "almacén de datos no disponible". Este problema se puede producir cada vez que el almacén de servicios de usuario no se encuentra en el mismo servidor que los servicios web.
Solución: Puede ser un error esporádico que indica un problema de conectividad con el registrador al que se conecta el dispositivo o puede indicar un problema constante. Si se trata de un error esporádico, reinicie el dispositivo para intentar enviar la solicitud de nuevo. Para ello, desconecte el sistema de alimentación del dispositivo, espere unos segundos y vuelva a conectar la alimentación. El dispositivo avanza por el proceso de conexión antes de volver a enviar la solicitud de publicación del certificado. En esta oportunidad, los servicios web pueden publicar el certificado del usuario en el grupo de servidores principales del usuario y devuelven el certificado al dispositivo. Para determinar si se trata de un problema más amplio que no es específico del dispositivo, ejecute la transacción sintética test-CsPhoneBootstrap:
test-CsPhoneBootstrap -PhoneorExt <phone or ext of user> -PIN <user's PIN> -UserSipAddress <user's SIP URI> -verbose
Esta transacción demuestra que el número de teléfono y el PIN del usuario coinciden con el URI del usuario.
Puede agregar los parámetros –TargetCertProvWSURL <URL de servicios web> y –TargetFqdn <FQDN del registrador> para omitir la detección DHCP.
Problema 2: No se puede publicar el certificado debido a un problema del registrador
Problema: El certificado de los servicios web no se puede generar o publicar debido a un problema del registrador.
Solución: Compruebe el estado del registrador. Para ello, consulte primero el módulo de administración de Microsoft System Center Operations Manager para ver si existen alertas relacionadas con el registrador al que se conecta el dispositivo. En System Center Operations Manager, desplácese hasta el registrador y vea las alertas críticas o los cambios de estado que indican un problema que no es crítico. Siga las instrucciones para solucionar el problema. Si Operations Manager no está disponible, use la siguiente transacción sintética para realizar la comprobación.
$cred = get-credential
test-CsClientAuth -UserSipAddress <sip address> -UserCredential $cred -TargetFQDN
Nota
Si desea utilizar la detección DHCP, no especifique –TargetFQDN. Si no desea utilizar la detección DHCP, proporcione el nombre de dominio completo (FQDN) del destino en la transacción sintética. Se omitirá la detección DHCP. El resultado debe mostrar en qué punto se produjo el error en la autenticación (por ejemplo, es posible que el mensaje de la detección DHCP no reciba ninguna respuesta). Siga las instrucciones descritas en el resultado de la transacción para solucionar el problema. Para comprobar si el servidor web está en ejecución, consulte el archivo certprov.log en Ocslogger (se genera en cada una de las instancias rtcsrv del grupo de servidores). Debe obtener registros de cada servidor del grupo, ya que hasta el momento no conocemos a cuál se dirige el dispositivo. Una vez solucionados los problemas, reinicie el dispositivo para iniciar un nuevo intento de conexión. En esta oportunidad, el certificado puede publicarse en el grupo de servidores en el que se hospeda el usuario y se devuelve al dispositivo.
Problema 3: No se puede comprobar el certificado de los servicios web
Problema: El dispositivo no puede comprobar el certificado presentado por los servicios web para las comunicaciones TLS. El dispositivo utiliza la cadena de certificados raíz descargada cuando el dispositivo se conecta por primera vez al servidor web. Si esta cadena no tiene una ruta completa de confianza de la entidad de certificación (CA) raíz al servidor web, no se puede comprobar el certificado que presenta el servidor web.
Solución: El dispositivo se proporciona con varios certificados de CA conocidas. Es importante que el certificado que se utiliza para identificar el servidor web esté emitido por una CA que tenga una cadena de confianza a una de estas CA raíz. Si no es así, el dispositivo no podrá validar el certificado que presenta el servidor para las comunicaciones TLS.
Información adicional
Puede omitir el paso que detalla cómo recibir y publicar certificados si utiliza un cable USB para conectar el dispositivo a un equipo con Lync. Este proceso obtiene y publica el certificado, y también instala el certificado en el dispositivo.